Descripción de los conceptos y la terminología de AWS Audit Manager

Recopile evidencias relevantes para las auditorías automáticamente con las evaluaciones de Audit Manager.

Las evaluaciones se basan en marcos, es decir agrupaciones de controles relacionados con las auditorías. Puede crear una evaluación a partir de un marco estándar o personalizado. Los marcos estándar contienen conjuntos de controles prediseñados que con arreglo a una norma o reglamento de cumplimiento específico. Los marcos personalizados, en cambio, incluyen controles que puede personalizar y agrupar según sus requisitos de auditoría. Si utiliza un marco como punto de partida, puede crear una evaluación que especifique las Cuentas de AWS que desea incluir en la auditoría.

Al crear una evaluación, Audit Manager comienza automáticamente a evaluar los recursos de la Cuentas de AWS en función de los controles que se definen en el marco. A continuación, recopila las evidencias relevantes y las convierte a un formato fácil de usar para los auditores. Una vez hecho esto, agrega las evidencias a los controles de evaluación. Cuando llegue el momento de realizar una auditoría, usted (o la persona que designe) puede revisar las pruebas recopiladas y, a continuación, añadirlas a un informe de evaluación. Este informe de evaluación le ayuda a demostrar que sus controles funcionan según lo previsto.

La recopilación de evidencias es un proceso continuo que comienza cuando se crea la evaluación. Puede detener la recopilación de evidencias, o bien cambiando el estado de la evaluación a inactiva, o bien en el nivel de control. Para ello, puede cambiar el estado de un control de su evaluación en concreto a inactivo.

Para obtener instrucciones acerca de cómo crear y administrar las evaluaciones, consulte Administración de las evaluaciones en AWS Audit Manager.

Los informes de evaluación son documentos finalizados que se generan a partir de una evaluación de Audit Manager. Estos informes resumen las evidencias relevantes recopilada para la auditoría, y están enlazados con las carpetas de evidencias pertinentes. Estas carpetas se nombran y organizan de acuerdo con los controles que se especifican en cada evaluación. Puede revisar qué evidencias recopila Audit Manager para cada evaluación y decidir cuáles desea incluir en el informe de evaluación.

Para más información acerca de estos informes, consulte Informes de evaluación. Para información sobre cómo generar un informe de evaluación, consulte Preparación de un informe de evaluación en AWS Audit Manager.

El destino de los informes de evaluación es el bucket S3 predeterminado en el que Audit Manager guarda los informes de evaluación. Para obtener más información, consulte Configuración del destino del informe de evaluación predeterminado.

Las auditorías son exámenes independientes de los activos, las operaciones o la integridad empresarial de su organización. Las auditorías de tecnología de la información (TI) examinan específicamente los controles de los sistemas de información de su organización. El objetivo de estas auditorías es determinar si los sistemas de información protegen los activos, funcionan de manera eficaz y mantienen la integridad de los datos. Todo esto es importante para cumplir con los requisitos reglamentarios exigidos por las normas o reglamentos de cumplimiento.

El término responsable de la auditoría tiene dos significados diferentes según el contexto.

En el contexto de Audit Manager, el responsable de una auditoría es un usuario o rol que gestiona una evaluación y sus recursos relacionados. Se encarga de la creación de evaluaciones, la revisión de las evidencias y la generación de informes de evaluación. Audit Manager es un servicio colaborativo y los responsables de auditorías se benefician cuando otras partes interesadas participan en sus evaluaciones. Por ejemplo, puede añadir a otros responsables de la auditoría a su evaluación para compartir las tareas de administración. Además, si es responsable de una auditoría y necesita ayuda para interpretar las evidencias recopiladas para un control, puede delegar ese conjunto de controles a otra parte interesada que tenga experiencia en la materia. En ese caso, la persona se conoce como persona delegada.

En términos comerciales, el responsable de una auditoría es quien coordina y supervisa las iniciativas de preparación para la auditoría de su empresa y presenta las evidencias al auditor. Por lo general, se trata de un profesional de la gobernanza, el riesgo y el cumplimiento (GRC). Puede ser. por ejemplo, un responsable de cumplimiento o de protección de datos del RGPD. Los profesionales del GRC tienen la experiencia y la autoridad adecuadas para gestionar la preparación de las auditorías. Más específicamente, comprenden los requisitos de cumplimiento y pueden analizar, interpretar y preparar los datos de los informes. Sin embargo, otras funciones empresariales también pueden ser Audit Manager del responsable de una auditoría; no solo los profesionales de GRC asumen esta función. Por ejemplo, puede optar por que un experto técnico de uno de los siguientes equipos configure y gestione las evaluaciones de Audit Manager:

La persona elegida como responsable de la auditoría en su evaluación de Audit Manager dependerá en gran medida de su organización y también de cómo se estructuren las operaciones de seguridad y de las características específicas de la auditoría. En Audit Manager, una misma persona puede asumir el rol de responsable de la auditoría en una evaluación y, el de delegado, en otra.

Independientemente de cómo utilice Audit Manager, puede gestionar la separación de funciones en su organización utilizando la persona propietaria o delegada de la auditoría y otorgando políticas de IAM específicas a cada usuario. Mediante este enfoque de dos pasos, Audit Manager garantiza que usted tenga el control total sobre todos los aspectos específicos de cada evaluación. Para obtener más información, consulte Políticas recomendadas para los usuarios de AWS Audit Manager.

Un origen administrado por AWS es un origen de evidencies que AWS conserva.

Cada origen administrado por AWS es una agrupación predefinida de orígenes de datos que se asigna a un determinado control común o principal. Cuando se utiliza un control común como origen de evidencias, se recopilan automáticamente las evidencias de todos los controles principales que respaldan ese control común. También puede utilizar los controles principales individuales como origen de evidencias.

Cada vez que se actualice un origen administrado por AWS, se aplicarán automáticamente las mismas actualizaciones a todos los controles personalizados que utilizan ese origen administrado por AWS. Esto significa que los controles personalizados recopilan evidencias comparándolas con las definiciones más recientes de ese origen de evidencias. Esto le ayuda a garantizar la conformidad continua a medida que cambia el entorno de conformidad de la nube.

Consulte también: customer managed source, evidence source.

Para cada control de una evaluación, Audit Manager realiza un seguimiento de la actividad de los usuarios en dicho control. A continuación puede revisar un registro de auditoría de las actividades relacionadas con un control específico. Para obtener más información sobre las actividades de los usuarios que se capturan en el registro de cambios, consulte Pestaña del registro de cambios.

La conformidad con la nube es el principio general según el cual los sistemas suministrados en la nube deben cumplir con los estándares que se aplican a los clientes de la nube.

Consulte control.

Los reglamentos de cumplimiento son leyes, normas órdenes de otro tipo prescritas por una autoridad, normalmente para regular una conducta. Un ejemplo de ello es el RGPD.

Los estándares de conformidad son un conjunto estructurado de directrices que detallan los procesos de una organización para mantener la conformidad con las normas, especificaciones o legislación establecidas. Algunos ejemplos de ello son el PCI DSS y la HIPAA.

Los controles son salvaguardias o medidas que se prescriben para un sistema de información o una organización. Se han diseñado los controles para proteger la confidencialidad, integridad y disponibilidad de su información y para cumplir con un conjunto de requisitos definidos. Garantizan que los recursos funcionen según lo previsto, que los datos sean fiables y que su organización cumpla con las leyes y normativas aplicables.

En Audit Manager, los controles también pueden ser preguntas en un cuestionario de evaluación de riesgos para proveedores. En ese caso, se trata de una pregunta específica que solicita información sobre la postura de seguridad y cumplimiento de una organización.

Los controles recopilan evidencias de forma continua cuando están activos en sus evaluaciones de Audit Manager. También puede agregar evidencias de forma manual a cualquier control. Cada evidencia se convierte en un registro que le permite demostrar la conformidad con los requisitos del control.

Audit Manager proporciona los siguientes tipos de controles:

Piense en un dominio de control como una categoría general de controles que no es específica de ningún estándar de conformidad. Un ejemplo de dominio de control es la protección de datos.

Los controles suelen agruparse por dominio con fines organizativos sencillos. Cada dominio tiene varios objetivos.

Las agrupaciones de dominios de control son una de las funciones más potentes del panel de control de Audit Manager. Audit Manager destaca los controles de sus evaluaciones que contienen evidencias no conformes y los agrupa por dominio de control. Esto le permite centrar sus esfuerzos de remediación en ámbitos temáticos específicos mientras se prepara para una auditoría.

Un objetivo de control describe el objetivo de los controles comunes que le pertenecen. Cada objetivo puede tener varios controles comunes. Si estos controles comunes se implementan correctamente, le ayudarán a cumplir el objetivo.

Cada objetivo de control pertenece a un dominio de control. Por ejemplo, el dominio de control Protección de datos puede tener un objetivo de control denominado Clasificación y gestión de datos. Para respaldar este objetivo de control, podría utilizar un control común denominado Controles de acceso para supervisar y detectar el acceso no autorizado a los recursos.

Consulte control.

Consulte control.

Un origen administrado por el cliente es un origen de evidencias que usted define.

Al crear un control personalizado en Audit Manager, puede usar esta opción para crear sus propios orígenes de datos individuales. Esto le ofrece la flexibilidad de recopilar evidencias automatizadas a partir de un recurso específico de la empresa, como, por ejemplo, una regla de AWS Config personalizada. También puede utilizar esta opción si desea añadir evidencias manuales al control personalizado.

Cuando utilice orígenes administrados por el cliente, es responsable de mantener todos los orígenes de datos que cree.

Consulte también: AWS managed source, evidence source.

Audit Manager utiliza orígenes de datos para recopilar evidencias para un control. Un origen de datos tiene las siguientes propiedades:

Un único control puede tener varios tipos de orígenes de datos y diferentes asignaciones. Por ejemplo, un control puede recopilar evidencias de varios tipos de origen de datos (como AWS Config y Security Hub). Es posible que otro control tenga AWS Config como único tipo de origen de datos, con varias reglas de AWS Config como asignaciones.

En la tabla siguiente se enumeran los tipos de origen de datos automatizados y se muestran ejemplos de algunas de las asignaciones correspondientes.

Los delegados son un usuarios de AWS Audit Manager con permisos limitados y suelen tener experiencia empresarial o técnica especializada. Estos conocimientos pueden estar relacionados, por ejemplos, con las políticas de retención de datos, los planes de formación, la infraestructura de red o la gestión de identidades. Los delegados ayudan a los responsables de la auditoría a revisar las evidencias recopiladas para comprobar si hay controles que estén dentro de su área de especialización. Pueden revisar los conjuntos de controles y las evidencias relacionadas con estos, añadir comentarios, cargar evidencias adicionales y actualizar el estado de cada una de las evaluaciones que les asigne para revisar.

Los responsables de las auditorías asignan conjuntos de controles específicos a los delegados, no a evaluaciones completas. En consecuencia, los delegados tienen acceso limitado a las evaluaciones. Para obtener instrucciones acerca de cómo delegar un conjunto de controles, consulte Delegación en AWS Audit Manager.

Las evidencias son registros que contienen la información necesaria para demostrar el cumplimiento de los requisitos de una evaluación. Las evidencias pueden ser, por ejemplo, las actividades de cambio invocadas por los usuarios o instantáneas de la configuración del sistema.

Hay dos tipos de evidencia principales en Audit Manager: las evidencias automatizadas y evidencias manuales.

La recopilación automática de evidencias comienza cuando se crea una evaluación. Se trata de un proceso continuo, durante el cual Audit Manager recopila evidencias a diferentes frecuencias según el tipo de evidencias y el origen de datos subyacente. Para obtener más información, consulte Descripción de cómo AWS Audit Manager recopila evidencias.

Para obtener instrucciones acerca de cómo revisar las evidencias de una evaluación, consulte Revisión de las evidencias en AWS Audit Manager.

Un origen de evidencias define de dónde un control recopila evidencias. Puede ser un origen de datos individual o una agrupación predefinida de orígenes de datos que se asigna a un control común o a un control principal.

Al crear un control personalizado, puede recopilar evidencias de orígenes administrados por AWS, por los clientes o por ambos.

Consulte también: AWS managed source, customer managed source.

Las evaluaciones pueden recopilar evidencias de dos maneras distintas.

Los destinos de exportación son los buckets S3 predeterminados, donde Audit Manager guarda los archivos que exporta desde el buscador de evidencias. Para obtener más información, consulte Configuración del destino de la exportación predeterminada para el buscador de evidencias.

Un marco de Audit Manager estructura y automatiza las evaluaciones para un estándar o un principio de control de riesgos específicos. Estos marcos incluyen un conjunto de controles prediseñados o definidos por el cliente, y le ayudan a asignar los recursos de AWS a los requisitos de estos controles.

Hay dos tipos de marcos en Audit Manager.

Para obtener instrucciones acerca de cómo crear y administrar marcos, consulte Uso de la biblioteca de marcos para administrar marcos en AWS Audit Manager.

Puede usar la característica de Uso compartido de un marco personalizado en AWS Audit Manager para compartir rápidamente los marcos personalizados en Cuentas de AWS y regiones. Para compartir un marco personalizado, debe crear una solicitud de uso compartido. El destinatario tiene entonces 120 días para aceptar o rechazar la solicitud. Una vez aceptada, Audit Manager replicará el marco de trabajo personalizado compartido en su biblioteca de marcos. Además de replicar el marco de trabajo personalizado, Audit Manager también replicará todos los conjuntos de controles personalizados y los controles que formen parte de ese marco. Posteriormente, dichos controles personalizados se agregan a la biblioteca de controles del destinatario. Audit Manager no replica los marcos o controles estándar. Esto se debe a que estos recursos ya están disponibles de forma predeterminada en cada cuenta y región.

Los recursos son activos físico o de información que se evalúan en una auditoría. Algunos ejemplos de recursos de AWS son las instancias de Amazon EC2, las instancias de Amazon RDS, los buckets de Amazon S3 y subredes de Amazon VPC.

Las evaluaciones de recursos son los procesos mediante los cuales se evalúa un recurso. y se basan en requisitos de control. Mientras una evaluación está activa, Audit Manager evalúa cada uno de los recursos que forman parte de la evaluación. Las evaluaciones de recursos ejecutan las tareas siguientes:

El cumplimiento de los recursos se refiere al estado de evaluación de un recurso que se evaluó al recopilar las evidencias de verificación de cumplimiento.

Audit Manager recopila evidencias de comprobación de conformidad para los controles que utilizan AWS Config y Security Hub como tipo de origen de datos. Es posible que se evalúen varios recursos durante la recopilación de evidencias. En consecuencia, una sola evidencia de verificación de conformidad puede incluir uno o más recursos.

Utilice el filtro de cumplimiento de los recursos del buscador de evidencias para conocer el estado de cumplimiento a nivel de recursos. Una vez completada la búsqueda, puede obtener una vista previa de los recursos que coinciden con su consulta de búsqueda.

En el buscador de evidencias, hay tres valores posibles que determinan el cumplimiento de los recursos:

Audit Manager administra los Servicios de AWS que se incluyen en las evaluaciones. Si tiene una evaluación anterior, es posible que haya especificado manualmente los servicios incluidos en el pasado. A partir del 4 de junio de 2024, no se podrá especificar ni editar manualmente los servicios incluidos.

Un servicio incluido es un Servicio de AWS sobre el que la evaluación recopila evidencias. Cuando un servicio se incluye en la evaluación, Audit Manager evaluará los recursos de dicho servicio. como, por ejemplo los siguientes:

Por ejemplo, si Amazon S3 es un servicio incluido, Audit Manager puede recopilar evidencias sobre los buckets de S3. Las evidencias exactas que se recopilan dependen del data source de un control. Por ejemplo, si el tipo de fuente de datos es AWS Config, y la asignación del origen de datos es una regla de AWS Config (como s3-bucket-public-write-prohibited), Audit Manager recopilará el resultado de la evaluación de esa regla como evidencia.

Consulte control.